ncsc.admin.ch (NCSC/OFCS) rapporte, dans sa revue hebdomadaire du 26.08.2025, une augmentation significative des signalements de phishing liés à de faux avis de colis, avec un ciblage notable des utilisatrices et utilisateurs Apple.
⚠️ La campagne usurpe des marques connues comme La Poste Suisse et DPD et s’appuie sur des protocoles modernes comme iMessage (Apple) et RCS (Android). Les messages sont chiffrés de bout en bout, une caractéristique détournée par les attaquants pour contourner le scanning des opérateurs et maximiser la délivrabilité des liens malveillants.
📦 Présentation trompeuse: via une fonctionnalité RCS permettant de nommer des messages groupés, les victimes voient apparaître un groupe intitulé de manière crédible (p. ex. « Informations de livraison postale »), ce qui confère une apparence officielle et réduit la méfiance.
🔓 Contournement des protections des OS: comme les liens provenant d’expéditeurs inconnus sont désactivés par défaut, les fraudeurs demandent de répondre « Y ». Cette réponse est interprétée comme un signal de confiance par le système, active le lien auparavant inerte et facilite le clic vers le site frauduleux.
🧠 Ingénierie sociale: la campagne exploite le principe d’autorité (marques reconnues) et crée une forte urgence (« livraison non effectuée », délais très courts) pour provoquer des actions impulsives. Le lien mène à une fausse page imitant le site officiel du service de livraison, qui réclame des données de carte de crédit et d’autres informations personnelles sous prétexte de frais de réexpédition minimes.
IOCs:
- Non communiqués dans l’article.
TTPs observées:
- Usurpation de marque (La Poste Suisse, DPD)
- Évasion via canaux chiffrés E2E (iMessage, RCS)
- Nomination de groupes RCS pour légitimer le message
- Activation de lien par sollicitation d’une réponse « Y »
- Pression temporelle et scénarios d’urgence
- Pages de phishing imitant des sites officiels
- Exfiltration de données bancaires et personnelles
Il s’agit d’une analyse de menace publiée par le NCSC/OFCS visant à informer sur une campagne de smishing en cours et à expliquer les techniques employées.
🧠 TTPs et IOCs détectés
TTPs
[‘Usurpation de marque’, ‘Évasion via canaux chiffrés E2E’, ‘Nomination de groupes RCS pour légitimer le message’, ‘Activation de lien par sollicitation d’une réponse’, ‘Pression temporelle et scénarios d’urgence’, ‘Pages de phishing imitant des sites officiels’, ‘Exfiltration de données bancaires et personnelles’]
IOCs
Non communiqués dans l’article
🔗 Source originale : https://www.ncsc.admin.ch/ncsc/fr/home/aktuell/im-fokus/2025/wochenrueckblick_34.html